04/03/2016 www.ccn-cert.cni.es

1

Introducción al ENS

Herramientas

SIN CLASIFICAR

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 2

1. Los Principios básicos, que sirven

de guía. 2. Los Requisitos mínimos, de

obligado cumplimiento. 3. La Categorización de los sistemas

para la adopción de medidas de seguridad proporcionadas.

4. La auditoría de la seguridad que verifique el cumplimiento del ENS.

5. La respuesta a incidentes de seguridad. Papel de CCN- CERT.

6. El uso de productos certificados. A considerar al adquirir los productos de seguridad. Papel del Organismo de Certificación (CCN).

7. La formación y concienciación.

6

15

75

ESQUEMA NACIONAL DE SEGURIDAD

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 3

CCN-STIC 825

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 5 5

POSIBLES NORMAS TÉCNICAS DE SEGURIDAD

04/03/2016

802 Auditoría del Esquema Nacional de Seguridad

807 Criptología de Empleo en el ENS

809 Declaración de conformidad del ENS

811 Interconexión en el ENS

817 Gestión de Incidentes de Seguridad en el ENS

823 Requisitos de seguridad en entornos CLOUD

824 Informe del estado de seguridad

827 Esquema de Certificación de Profesionales de Ciberseguridad

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 6

INFORME ARTICULO 35. ESTADO DE SEGURIDAD DE LAS AAPP

Nueva versión NOV 2014

Véase: “815 Métricas e indicadores”

disponible en https://www.ccn-cert.cni.es

Artículo 35. Informe del estado de la seguridad.

El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para

conocer regularmente el estado de las principales variables de la seguridad en los sistemas de

información a los que se refiere el presente real decreto, de forma que permita elaborar un

perfil general del estado de la seguridad en las Administraciones públicas.

El Centro Criptológico Nacional articulará los procedimientos necesarios para la recogida y

consolidación de la información, así como los aspectos metodológicos para su tratamiento y

explotación, a través de los correspondientes grupos de trabajo que se constituyan al efecto en

el Comité Sectorial de Administración Electrónica y en la Comisión de Estrategia TIC para la

Administración General del Estado.

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 7

NIVEL DE PARTICIPACIÓN

2015

2014

Total: 118 organismos

Total: 355 organismos

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 8

CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas

1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes

servicios:

a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de

seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las

entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.

El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad

ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el

cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los

sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los

miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro

Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro

Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional

de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías

de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr

la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información,

recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.

2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas

necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a

incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 9

CCN-CERT RD 951/2015 ACTUALIZACIÓN DEL ENS

Artículo 36

«Las Administraciones Públicas notificarán al Centro Criptológico Nacional

aquellos incidentes que tengan un impacto significativo en la seguridad de

la información manejada y de los servicios prestados en relación con la

categorización de sistemas recogida en el Anexo I del presente real

decreto.»

Artículo 37

Para el cumplimiento de los fines indicados en los párrafos anteriores se

podrán recabar informes de auditoría de los sistemas afectados, registros

de auditoría, configuraciones y cualquier otra información que se considere relevante, así como los soportes informáticos que se estimen

necesarios para la investigación del incidente de los sistemas afectados,

sin perjuicio de lo dispuesto en la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de carácter personal, y su normativa

de desarrollo, así como de la posible confidencialidad de datos de

carácter institucional u organizativo.»

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 10

Total de incidentes gestionados por año

31.12.2015

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 11

DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO

GESTOR DE

REGLAS

MÓNICA

HERRAMIENTA

FORENSE ROCÍO

HERRAMIENTAS

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 12

Estado del

proyecto

CAPACIDADES

FORENSES

ING. INVERSA

Elaboración

Servicios Inteligencia

SIGINT

INTERNO EXTERNO

Otros Cert,s

AAPP Empresas

OTROS

Federación

Feeds

REGLAS SAT

CERT-EU

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 13

Gracias

E-Mails

ccn-cert@cni.es

info@ccn-cert.cni.es

ccn@cni.es

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

ines@ccn-cert.cni.es

organismo.certificacion@cni.es

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es

CCN-CERT. SERVICIOS SIN CLASIFICAR

www.ccn-cert.cni.es 04/03/2016 14

El Esquema Nacional de Seguridad (RD 3/2010) CAPÍTULO I. DISPOSICIONES GENERALES. CAPÍTULO II. PRINCIPIOS BÁSICOS. CAPÍTULO III. REQUISITOS MÍNIMOS. CAPÍTULO IV. COMUNICACIONES ELECTRÓNICAS. CAPÍTULO V. AUDITORÍA DE LA SEGURIDAD. CAPÍTULO VI. ESTADO DE SEGURIDAD DE LOS SISTEMAS. CAPÍTULO VII. RESPUESTA A INCIDENTES DE SEGURIDAD. CAPÍTULO VIII. NORMAS DE CONFORMIDAD. CAPÍTULO IX. ACTUALIZACIÓN. CAPÍTULO X. CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN. DISPOSICIÓN ADICIONAL PRIMERA. Formación. DISPOSICIÓN ADICIONAL SEGUNDA. Instituto Nacional de Tecnologías de la Comunicación (INTECO) y organismos análogos. DISPOSICIÓN ADICIONAL TERCERA. Comité de Seguridad de la Información de las Administraciones Públicas. DISPOSICIÓN ADICIONAL CUARTA. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. DISPOSICIÓN TRANSITORIA. Adecuación de sistemas. DISPOSICIÓN DEROGATORIA ÚNICA. DISPOSICIÓN FINAL PRIMERA. Título habilitante. DISPOSICIÓN FINAL SEGUNDA. Desarrollo normativo. DISPOSICIÓN FINAL TERCERA. Entrada en vigor. ANEXO I. Categorías de los sistemas. ANEXO II. Medidas de seguridad. ANEXO III. Auditoría de la seguridad. ANEXO IV. Glosario. ANEXO V. Modelo de cláusula administrativa particular.